Articles jurídics > Robatori d’una memòria usb d’un hospital públic que conté dades personals de treballadors
0B8A0976

El diari Heraldo de Aragón publica la següent notícia “Roben dades de treballadors del Provincial”, informació que un particular posa en coneixement de l’AGPD, la que inicia les investigacions que finalitzen amb la declaració de dues infraccions greus (falta de seguretat i falta de creació del fitxer) com s’exposa en l’AP/00018/2010, R/01436/2010 de 2-07-2010.

Durant la visita de la inspecció de l’AGPDA realitzada a l’Hospital, es constata que entre els objectes sostrets, figura un dispositiu d’emmagatzematge usb d’1 gb capacitat, color blanc i marca que es desconeix, contenint en el seu interior un fitxer amb les dades personals i de la nòmina del citat hospital, llapis de memòria que va ser proporcionat pel servei d’informàtica al servei de personal de l’hospital.

Que contenia l’usb robat?

En el moment del robatori, la informació continguda en l’esmentat suport consistia en diverses dades de caràcter personal:

1.- un fitxer amb la nòmina del personal, la destinació del qual era l’entitat bancària que realitza els pagaments d’aquesta nòmina, amb el nom, els cognoms, el codi de compte corrent i el salari. El motiu que es portés aquest suport al banc és que anteriorment aquesta transferència d’informació es realitzava en disquets, que freqüentment resultaven danyats en els arcs de seguretat de la sucursal bancària. Aclareixen igualment que el codi de compte corrent figurava codificat.

2.- un fitxer de triennis, contenint la informació sobre les persones que tenien un trienni recentment reconegut i que calia començar a pagar. El contingut concret del fitxer era el nom, la categoria professional, la data del trienni i l’import.

3.- un fitxer de costos, utilitzat per a la realització d’estudis de costos, contenint: nom, gfh (grup funcional homologat) i cost associat.

El servei d’informàtica disposa del programari TrueCrypt per al xifrat de suports, a la disposició d’aquells usuaris que ho sol·licitin. Actualment s’utilitza únicament en el Servei d’Informàtica.

L’hospital pren mesures de seguretat … però després del robatori.

Durant la visita d’inspecció els representants del mateix informen a més de les mesures adoptades arran del robatori:

a.- Instal·lació d’un sistema d’alarma i videovigilància.

b.- Transmissió telemàtica de les dades de nòmines a l’entitat bancària.

c.- Deshabilitació dels ports USB en tots els equips excepte en aquells en què se sol·liciti habilitació, de forma expressa.

Exposen els representants de l’Hospital que el document de seguretat es troba en desenvolupament i que tampoc disposen del registre d’incidències ni del registre de suports.

I el document de seguretat? … en fase de creació.

En l’Acta d’inspecció consta que el document de seguretat està en elaboració, i que no tenen registre de suports ni registre d’incidències, encara que si dos documents establint les funcions del personal que treballa amb fitxers que contenen dades de caràcter personal:

a.- Funcions i obligacions específiques de cada usuari.

b.- Obligacions dels usuaris de fitxers amb dades de caràcter personal.

El primer d’ells ha de ser signat pels nous usuaris del sistema d’informació de l’Hospital, a els qui se’ls lliura en el mateix acte una còpia del segon document.

Els representants de l’Hospital aporten còpies dels documents esmentats.

Les comprovacions dels inspectors de l’AGPD.

Els inspectors de l’Agència van realitzar les següents comprovacions:

a. Es va accedir a l’ordinador del Cap de Servei, on després d’inserir un llapis de memòria en un port USB es va verificar que el sistema requereix permisos d’administrador per a la instal·lació del mateix.

b. Es va accedir als ordinadors dels dos caps de secció amb què compta el Servei, verificant que en un d’ells el sistema operatiu requereix la instal·lació d’un programari que precisa de privilegis d’administrador, mentre que el segon té habilitat l’accés, manifestant la seva usuària que aquesta habilitació es va sol·licitar en haver de traslladar còpia de la informació d’un concurs a un ordinador portàtil per ser usat en la Taula de Valoració.

c. Es va accedir a tres ordinadors seleccionats a l’atzar entre la resta dels equips del Servei, comprovant que en dos d’ells està habilitat l’ús de dispositius de memòria extraïbles, mentre que en el tercer d’ells no ho està. (Folis 24 i 25).

El deure seguretat, segons la LOPD.

En referència al deure seguretat la LOPD –art. 9- imposa al responsable del fitxer l’adopció de mesures de seguretat que evitin accessos no autoritzats, per la qual cosa el manteniment de fitxers mancats de mesures de seguretat que permetin accessos o tractaments no autoritzats, qualsevol que sigui la forma o modalitat d’aquests, constitueix una infracció tipificada com a greu.

I que diu la normativa especifica en matèria de seguretat?

En referència a les infraccions objecto d’anàlisis, el Reial decret 1720/2007 estableix el següent: Article 90. Registre d’incidències.

Haurà d’existir un procediment de notificació i gestió de les incidències que afectin a les dades de caràcter personal i establir un registre en el qual es faci constar el tipus d’incidència, el moment en què s’ha produït, o si escau, detectat, la persona que realitza la notificació, a qui se li comunica, els efectes que s’haguessin derivat de la mateixa i les mesures correctores aplicades.

Article 92. Gestió de suports i documents.

1. Els suports i documents que continguin dades de caràcter personal hauran de permetre identificar el tipus d’informació que contenen, ser inventariats i solament hauran de ser accessibles pel personal autoritzat per a això en el document de seguretat.

S’exceptuen aquestes obligacions quan les característiques físiques del suport impossibilitin el seu compliment, quedant constància motivada d’això en el document de seguretat.

2. La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament haurà de ser autoritzada pel responsable del fitxer o trobar-se degudament autoritzada en el document de seguretat.

3. En el trasllat de la documentació s’adoptaran les mesures dirigides a evitar la sostracció, pèrdua o accés indegut a la informació durant el seu transport.

4. Sempre que vagi a rebutjar-se qualsevol document o suport que contingui dades de caràcter personal haurà de procedir-se a la seva destrucció o esborrat, mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació continguda en el mateix o la seva recuperació posterior.

5. La identificació dels suports que continguin dades de caràcter personal que l’organització considerés especialment sensibles es podrà realitzar utilitzant sistemes d’etiquetatge comprensibles i amb significat que permetin als usuaris amb accés autoritzat als citats suports i documents identificar el seu contingut, i que dificultin la identificació per a la resta de persones”.

Al final, dues infraccions greus.

Es constata la infracció de dues obligacions:

a.- la primera la de dictar la preceptiva disposició de creació del fitxer o dels fitxers de l’Hospital, la qual cosa suposa una vulneració de l’article 20 de la LOPD.

b.- la segona (art. 9 LOPD) la de mantenir els fitxers, locals, programes o equips que continguin dades de caràcter personal sense les degudes condicions de seguretat que per via reglamentària es determinin (el RD 1720/2007).

© Ramon Arnó Torrades, 2010, Lleida